Sign in with Microsoft
Sign in or create an account.
Hello,
Select a different account.
You have multiple accounts
Choose the account you want to sign in with.

本文內容

摘要

2022 年 11 月 8 日以後的 Windows 更新解決在使用 RPC 簽署而非 RPC 密封時,Netlogon 通訊協定中的弱點。 在 CVE-2022-38023 可以找到詳細資訊。

Netlogon 遠端通訊協定 遠端程序呼叫 (RPC) 介面主要用來維護裝置與其網域之間的關係,以及網域控制站 (DC) 和網域之間的關係。

此更新預設會保護 Windows 裝置不受到 CVE-2022-38023 的影響。  對於協力廠商用戶端和協力廠商網域控制站,更新預設為相容模式,並允許來自這類用戶端的易受攻擊連線。 如需移至強制執行模式的步驟,請參閱登錄機碼設定一節。

為了協助保護您的環境,請將 2022 年 11 月 8 日的 Windows 更新或之後的 Windows 更新,安裝到所有裝置,包括網域控制站。

重要: 自 2023 年 4 月開始,所有 Windows 網域控制站都會啟用強制模式,並且會封鎖來自不相容裝置的易受攻擊連線。  屆時,您將無法停用更新,但可以回到相容模式設定。 相容模式將會在 2023 年 7 月移除,如解決 Netlogon 弱點 CVE-2022-38023 的更新時間一節所述。

解決 CVE-2022-38023 的更新時間

更新會分幾個階段發行:更新的初始階段在 2022 年 11 月 8 日或之後發行,更新的強制階段在 2023 年 7 月 11 日或之後發行。

初始部署階段從 2022 年 11 月 8 日發行的更新開始,一直持續到之後的 Windows 更新直到強制階段。 2022 年 11 月 8 日或之後的 Windows 更新透過在所有 Windows 用戶端上強制執行 RPC 密封,解決 CVE-2022-38023 安全性略過弱點的問題。

根據預設,裝置將會設定為相容模式。 Windows 網域控制站會要求 Netlogon 用戶端在執行 Windows 時,或是做為網域控制站或信任帳戶時,使用 RPC 密封。

2023 年 4 月 11 日或之後發行的 Windows 更新會移除將值 0 設定為 RequireSeal 以停用 RPC 密封的功能。 

除非系統管理員明確設定為在相容模式下,否則 RequireSeal 會移至強制模式。 來自所有用戶端 (包括協力廠商) 的易受攻擊連線都將遭到拒絕驗證。

2023 年 7 月 11 日發行的 Windows 更新會移除將值 1 設定為 RequireSeal 子機碼的功能。 這會啟用 CVE-2022-38023 的強制階段。

登錄機碼設定

安裝 2022 年 11 月 8 日或之後的 Windows 更新之後,Windows 網域控制站上的 Netlogon 通訊協定會有下列登錄機碼: 

RequireSeal

登錄機碼

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

RequireSeal

資料類型

REG_DWORD

資料

0 - 停用  

1 - 相容模式。 Windows 網域控制站會要求 Netlogon 用戶端在執行 Windows 時,或是做為網域控制站或信任帳戶時,使用 RPC 密封。

2 - 強制模式。 除非將所有用戶端新增至「網域控制站: 允許易受攻擊的 Netlogon 安全通道連線」群組原則物件 (GPO),否則所有用戶端都必須使用 RPC 密封。

需要重新啟動?

與 CVE-2022-38023 相關的 Windows 事件

事件記錄檔 

系統 

事件類型 

錯誤 

事件來源 

NETLOGON 

事件識別碼 

5838 

事件文字 

Netlogon 服務遇到使用 RPC 簽署而非 RPC 密封的用戶端。 

如果您在事件記錄檔中發現此錯誤訊息,必須採取下列動作才能解決系統錯誤:

事件記錄檔 

系統 

事件類型 

錯誤 

事件來源 

NETLOGON 

事件識別碼 

5839 

事件文字 

Netlogon 服務遇到使用 RPC 簽署而非 RPC 密封的信任。  

事件記錄檔 

系統 

事件類型 

警告 

事件來源 

NETLOGON 

事件識別碼 

5840 

事件文字 

Netlogon 服務與使用 RC4 的用戶端建立了安全通道。  

如果您發現事件 5840,表示您網域中的用戶端正在使用弱式密碼編譯。

事件記錄檔 

系統 

事件類型 

錯誤 

事件來源 

NETLOGON 

事件識別碼 

5841 

事件文字 

Netlogon 服務因為 [RejectMd5Clients] 設定而拒絕使用 RC4 的用戶端。  

 如果您發現事件 5841,表示 RejectMD5Clients 值設定為 TRUE


RejectMD5Clients 機碼是 Netlogon 服務中預先存在的機碼。 如需詳細資訊,請參閱抽象資料模型的 RejectMD5Clients 描述。

常見問題集 (FAQ)

所有已加入網域的電腦帳戶都會受到此 CVE 影響。 在安裝 2022 年 11 月 8 日或之後的 Windows 更新之後,事件會顯示誰受此問題影響最大,請檢閱事件記錄檔錯誤一節以解決問題。

為了協助偵測未使用最強可用密碼編譯的較舊用戶端,此更新會為使用 RC4 的客戶引進事件記錄檔。

RPC 簽署是指 Netlogon 通訊協定使用 RPC 簽署透過連接線傳送的訊息。 RPC 密封是指 Netlogon 通訊協定簽署並加密透過連接線傳送的訊息。

詞彙

進階加密標準 (AES) 是取代資料加密標準 (DES) 的區塊編碼器。 AES 可用來保護電子資料。 AES 演算法可用來加密 (編碼) 和解密 (解碼) 資訊。 加密會將資料轉換成一種無法理解的形式,稱為加密文字;解密會將資料轉換回其原始形式,稱為純文字。 AES 用於對稱金鑰密碼編譯,表示使用相同的金鑰來進行加密和解密作業。 它也是一個區塊編碼器,表示它是在純文字和加密文字固定大小的區塊上運作,純文字的大小和加密文字的大小必須是此區塊大小的整數倍數。 AES 也稱為 Rijndael 對稱式加密演算法 [FIPS197]

在 Windows NT 作業系統相容的網路安全性環境中,負責在網域主控站 (PDC) 和備份網域控制站 (BDC) 之間同步及維護功能的元件。 Netlogon 是目錄複寫伺服器 (DRS) 通訊協定的前導。Netlogon 遠端通訊協定遠端程序呼叫 (RPC) 介面主要用來維護裝置與其網域之間的關係,以及網域控制站 (DC) 和網域之間的關係。 如需詳細資訊,請參閱 Netlogon 遠端通訊協定

RC4-HMAC (RC4) 是金鑰長度可變的對稱式加密演算法。 如需詳細資訊,請參閱 [SCHNEIER] 17.1 節。

在建立了資訊安全內容用於簽署和加密 RPC 封包的網域中的兩部電腦之間,經過驗證的遠端程序呼叫 (RPC) 連線。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×